Положение о персональных данных и иные документы


Положение о персональных данных и иные документы

Согласно требованиям ст. 87 ТК РФ каждый работодатель обязан утвердить порядок хранения и использования персональных данных своих работников. Для этого необходимо утвердить соответствующий документ, например, Положение о персональных данных и их защите (политика).

Положение о персональных данных и их защите

Это внутренний локальный нормативный акт, который регламентирует порядок получения, использования и хранения персональных данных сотрудников компании (общие положения). Форма Положения о персональных данных законом не утверждена, поэтому его придется составить самостоятельно. Закон не содержит четкого перечня сведений, которые должны содержаться в этом документе, конкретные положения придется определить самостоятельно. Положение является общим документом, определяющим политику организации в области обработки персональных данных. Рекомендуем включить в него разделы, содержащие информацию:

  • цель и задачи организации в области обработки и защиты персональных данных;
  • понятие и состав персональных данных (Перечень персональных данных может быть отдельным приложением);
  • порядок сбора, обработки, использования и передачи;
  • на каких носителях (электронных, бумажных) и где они хранятся;
  • права работника, связанные с защитой его персональных данных;
  • обязанности работодателя-оператора персональных данных;
  • ответственность работодателя за несанкционированный доступ и разглашение персональных данных сотрудника;
  • перечень лиц, имеющих доступ к персональным данным (это может быть отдельное приложение).

Приведенный перечень сведений является лишь ориентировочным и может быть использован в качестве примера. В Положении о персональных данных рекомендуется максимально подробно прописать все аспекты их получения, хранения и обработки.

Данное Положение следует утвердить, издав соответствующий локальный нормативный акт. Как правило, таким актом является приказ, подписываемый руководителем или иным уполномоченным работодателем лицом. При наличии в организации представительного органа работников (например, профсоюза) локальные акты должны приниматься с учетом его мнения в порядке ст. 372 ТК РФ.

Иные документы

Закон не конкретизирует перечень документов, которые следует составить работодателю, обрабатывающему персональные данные сотрудников. Помимо общего Положения о персональных данных рекомендуем составить также следующие документы (они могут быть приложением к нему):

  • Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные;
  • Приказы о возложении персональной ответственности за защиту персональных данных;
  • Перечень персональных данных, обрабатываемый работодателем, в него включается категория данных, объем и срок хранения, способ обработки (автоматизированный и неавтоматизированный), перечень должностей сотрудников, их обрабатывающих, наличие согласия на обработку;
  • Регламент допуска сотрудников к обработке персональных данных;
  • Перечень допущенных сотрудников к обработке персональных данных;
  • Перечень информационных систем, обрабатывающих персональные данные с указанием места расположения;
  • Должностные инструкции сотрудников, имеющих отношение к обработке персональных данных.

Ознакомление сотрудников с Положением о персональных данных и другими документами

В соответствии с требованиями п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены с документами, устанавливающими порядок обработки персональных данных, а также с правами и обязанностями в этой области. Поэтому с вышеперечисленными документами следует ознакомить сотрудников под подпись.

При этом закон не устанавливает конкретной формы ознакомления – работодатель вправе сам решить, каким образом фиксировать это в своих документах. Например, распространена практика оформления журнала ознакомления с локальными нормативными актами. Для подтверждения факта ознакомления работник должен поставить подпись в соответствующей графе. Возможны и иные варианты, например, подтверждение в виде отдельного документа, включение соответствующего пункта в трудовой договор и т.д.

Публикация информации о порядке обработки персональных данных

Согласно закону операторы персональных данных обязаны опубликовать или иным способом предоставить всем желающим неограниченный доступ к документу, определяющему их политику в отношении обработки персональных данных (ч. 2 ст. 18.1 Закона № 152-ФЗ). Закон не конкретизирует, что это за документ. Это может быть и Положение о персональных данных, и любой другой аналогичный документ. Эту информацию можно разместить, например, на информационном стенде, доступном всем желающим, на интернет-сайте и т.д.

Исполнение этих требований может быть проверено Роскомнадзором в любое время. Если от него поступил соответствующий запрос, необходимо представить указанные выше документы, а также (при необходимости) доказательства выполнения требований закона о публикации таких документов (ч. 4 ст. 18.1 Закона № 152-ФЗ).